The Rand Corporation, en uafhængig privat non profit organisation, har for nylig med The Information Commissioner’s Office (det engelske datatilsyn) som sponsor udarbejdet en rapport med titlen ”Review of the European Data Protection Directive”.
Der gøres opmærksom på i indledningen , at rapporten ikke nødvendigvis reflekterer The Information Commissioner’s Office holdninger. The Information Commissioner’s Office har spurgt et tværfagligt internationalt forsknings team, heriblandt repræsentanter for EU Kommissionen, under ledelse af Rand Europe om, at gennemgå styrker og svagheder ved EU´s databeskyttelsesdirektiv 95/46/EC (herefter benævnt ”direktivet”) og foreslå veje til forbedringer.
Direktivet kan betragtes som et unikt lovbestemt instrument til at understøtte udøvelsen af retten til privacy og regler for persondatabeskyttelse. Dets principper bliver mange steder anset som gyldne regler eller som en reference model for persondatabeskyttelse i Europa og andre dele af verden.
Selvom direktivets fleksibilitet hjælper med til at det kan være up to date, så bliver direktivets effektivitet undermineret af kompleksiteten af de kulturelle og nationale forskelle, som den skal omfatte. I de 13 år siden direktivet har været i kraft, er der sket dramatiske ændringer i verden i den måde persondata er tilgængelige, behandles og anvendes. På samme tid er offentligheden i høj grad blevet opmærksom på potentialet for at deres persondata kan blive misbrugt.
Rapporten konkluderer helt overordnet, at eftersom vi bevæger os hen imod et globalt internet samfund, vil direktivet, som det ser ud i dag, ikke være tilstrækkelig i længden. Mens direktivets vidt anerkendte principper vil forblive som et nyttigt front-end, bør de understøttes af en skadebaseret back-end for at kunne hamle op med de internationale datastrømme og globaliseringsudfordringen. Det er dog også almindelig anerkendt, at de nuværende ordninger stadig har nytteværdi. En hel del kan opnås ved en bedre implementering af de nuværende regler, for eksempel ved at skabe enighed om fortolkningen af en række centrale begreber og ved at ændre vægtningen i forbindelse med fortolkningen af andre.
Som det fremgår af rapporten, anses det for den værste løsning (for de fleste eksperter) at opgive direktivet i sin nuværende form, eftersom den har tjent og fortsat tjener som et incitament til at tage databeskyttelse alvorligt. Individets privacy påvirkes af en række overlappende drivers, herunder behovet for at behandle personlig information af sociale og økonomiske grunde, teknologisk udvikling og trends som internettets popularitet og globalisering. Udbredelsen af e-commerce og e-government er centreret på personlige oplysninger. Personer er ofte villige til eller kan overtales til at videregive persondata i forventning om at modtage økonomiske eller sociale fordele. Offentlige og private organisationer er glade for at give disse fordele, men for at kunne gøre det, skal de have tilladelse til lovligt at indsamle, overføre og behandle informationen. Personer er også begyndt at indsamle, forvalte og bruge persondata på tilsvarende måde, f.eks. via sociale netværkssites.
De interviews som er blevet gennemført i forbindelse med denne undersøgelse illustrerer, at forskelle i gennemførelsen af direktivet har været resultatet af et kompleks interplay af faktorer, herunder juridisk arvegods, kulturelle og historiske normer samt personlige og institutionelle karakteristika hos myndighederne.
Udfordringer
I en kontekst af en hastig teknologisk udvikling og globalisering, er et sæt af karakteristiske udfordringer blevet identificeret:
• Definere privacy – hvornår indvirker behandling af persondata på privacy og hvornår gør den det ikke; og hvor stærkt skal sammenhængen være mellem regler om databeskyttelse og privacy beskyttelse ?
• Risiko analyse – kan vi forudse hvor stor risikoen er ved at overlade personlige oplysninger til en myndighed eller organisation ?
• Individets rettigheder i relation til almenvellet – under hvilke omstændigheder vil privacy være underordnet samfundets behov, når man tager i betragtning den fundamentale betydning af privacy beskyttelse for udvikling af et demokratisk samfund som sådant ?
• Transparens – persondata er overalt, især online, og kan på grund af den teknologiske udvikling som ambient intelligence og cloud computing blive overordentlig vanskelig at spore og kontrollere. Hvordan kan vi være sikre på hvordan og hvor de bliver brugt ?
• Give valgmuligheder – mange services tilbydes kun såfremt tilstrækkelig persondata frigives, men såfremt vigtige services nægtes, når vi er uvillige til at supplere disse data, har vi så et reelt valg ?
• Ansvarstildeling (accountability) –hvem holdes i sidste ende ansvarlig og hvor går vi hen for at få oprejsning ?
Styrker og svagheder
Undersøgelsen identificerer en række styrker og svagheder i forbindelse med direktivet. De væsentligste styrker er:
• Direktivet tjener som reference model for good practice.
• Direktivet harmoniserer principper for databeskyttelse og muliggør til en vis grad et internt marked for persondata.
• Det princip-baserede framework tillader fleksibilitet.
• Direktivet er teknologi neutral.
• Direktivet har forbedret awareness om bekymringen for databeskyttelse.
De væsentligste svagheder er:
• Forbindelsen mellem konceptet for persondata og reelle privacy risici er uklar.
• Midlerne der sigter på at skabe gennemsigtighed af databehandlingen ved hjælp af bedre information og notifikation er inkonsekvent og ineffektiv.
• Reglerne for data eksport og overførsel til 3. land er forældet.
• Redskaberne for overførsel af data til 3. lande er besværlige.
• De enkelte Datatilsyn´s rolle i forbindelse med ansvarstildeling og håndhævelse er inkonsekvent.
• Definition af myndigheder/organisationer, som er involveret i behandling og forvaltning af persondata er overforenklet og statisk.
• Der er andre mindre svagheder som har sammenhæng med vanskeligheder i den praktiske gennemførelse.
Anbefalinger
Rapportens team af eksperter har formuleret et sæt af praktiske rekommandationer med henblik på at få det meste ud af den gældende lovgivning samtidig med at foreslå en fremtidssikret reguleret arkitektur.
• Medlemslande, der faciliteres af EU Kommissionen, har behov for at enes om en effektiv fortolkning, implementering og håndhævelse af direktivet, herunder at opfordre til en risiko-baseret tilgang, med ikke-notifikation som den generelle regel snarere end undtagelsen, for at sikre at bindende virksomhedsregler (Binding Corporate Rules) lettere kan finde anvendelse for at legitimere data overførsel til 3. Lande, forbedre ansvarstildeling og hjælpe med til at databehandling lever op til krav om gennemsigtighed. EU Kommissionen bør forbedre effektiviteten af reglen om tilstrækkelighed ( af beskyttelsesniveaet for personoplysninger) samt facillitere brugen af alternativer som f.eks. aftaleklausuler og Binding Corporate Rules.
• Direktivet bør eksplicit inkluderes i listen over love som skal revideres i henhold til the Better Regulation agenda.
• Artikel 29 arbejdsgruppen bør arbejde frem mod at præcisere privacy normer og standarder, rollen for ”privacy-by-design” for nye teknologier og forretningsmodeller som støtter compliance.
• The London Initiative bør udvikle en almengyldig strategi for håndhævelse til brug for uafhængige tilsynsmyndigheder ved hjælp af en ikke-bindende samarbejdsaftale (Memorandum of Understanding).
• Artikel 29 arbejdsgruppen bør udvide kontakten til repræsentanter for erhvervslivet, civilsamfundet og NGO´er.
• Datatilsyn med rådgivning fra den Europæiske Tilsynsførende for Databeskyttelse (EDPS), bør opmuntres til at udvikle mere tilgængelige privacy policies, f.eks. sammenlignelig med modellen for Creative Commons for ophavsret og licenser.
• Medlemslande bør arbejde sammen med forbrugerorganisationer med henblik på at indføre et system af lokale repræsentanter med henblik på at hjælpe personer med at udøve deres rettigheder samt medvirke til at aflaste datatilsynsmyndgheden.
Med henblik på at gøre europæisk governance arkitektur levedygtig i lyset af international data flows, anbefaler rapporten også, at den kommende 2009 Consultation overvejer en alternativ model, som er baseret på følgende:
1. Definere high level formål
2. Definere globale ensartede privacy principper (“General Principles”) baseret på velkendte eksisterende instrumenter for databeskyttelse som f. eks. i Den Europæiske Unions charter om grundlæggende rettigheder og Europarådets konvention nr. 108;
3. Implementere værktøjer og instrumenter for at gennemføre disse, og
4. Forudsigelige, effektive retshåndhævelsesmidler for at sikre ansvarsplacering, såfremt resultaterne ikke opnås eller principperne ikke respekteres.
Det vil indebære en revision af direktivet med henblik på at blive et instrument, som klart beskriver:
1. Udbytte ud fra interessenters forventninger:
o Individer – at opretholde en klar og effektiv beskyttelse når som helst persondata bliver behandlet, herunder med hensyn til ansvarspligt for den dataansvarlige og hermed bidrage til beskyttelsen af privacy. At have et valg til at udøve signifikant kontrol over ens egne persondata, herunder at dele persondata med en betroet 3. Part, eller at kunne tilbageholde disse, men at være opmærksom på de implikationer dette har i nutidens informationssamfund.
o Offentlige og private organisationer – at være i stand til at gore brug af persondata samt udlede en økonomisk eller samfundsmæssig værdi, så længe det sker i overensstemmelse med “General Principles”, især ved at databehandle i henhold til de fastsatte formål, samt sikre legitimitet for den pågældende aktivitet i medfør af de opstillede regler og at de vil blive draget til ansvar, såfremt reglerne ikke følges.
o Datatilsyn – at handle uafhængigt, rimeligt og fornuftigt i forhold til den offentlige og private sektor. Om nødvendigt at gøre brug af retshåndhævelse for at udvikle god praksis og for at sikre erstatning ved forvoldt skade.
2. Ensartede globale principper for privacy beskyttelse:
o Legitimitet – definere hvornår behandling af persondata er acceptabel.
o Formålsbegrænsning – sikre at persondata kun behandles i den udstrækning det er nødvendigt for at opfylde de formål, de er blevet indsamlet til. Yderligere brug forudsætter datasubjektets samtykke.
o Security og fortrolighed – et specifikt krav om at den registeransvarlige tager passende tekniske og organisatoriske forholdsregler.
o Transparens – at passende niveauer af gennemsigtighed sikres for datasubjektet.
o Medvirken af datasubjektet – sikre sig at datasubjektet kan udøve sine rettigheder effektivt.
o Ansvarspligt – at de som behandler persondata bliver gjort ansvarlige for deres handlinger i henhold til de fastlagte retsvirkninger.
For at sikre at de fastlagte principper gennemføres fordrer det iværksættelsen af en lang række initiativer, som f.eks.:
o Udarbejdelse af privacy policies
o Offentliggørelse af privacy statements og notifikationer
o Udnævnelse af privacy ansvarlige
o Udarbejdelse af adfærdskodeks (Codes of Conduct)
o Udarbejdelse af Corporate Governance
o Privacy rapportering af virksomheder og myndigheder
o Udarbejdelse af standarder
o Udarbejde en privacy mærkningsordning
o Udarbejde privacy konsekvensanalyser (privacy impact assessments)
o Udvikle privacy teknologier (privacy by design)
o Gennemføre målrettede informationskampagner
For at understøtte disse virkemidler er en effektiv retshåndhævelse nødvendig, herunder at indgå strategiske partnerskaber mellem datatilsyn og forbrugerorganisationer, især i lande med en stærk forbrugerkultur. Datatilsynets rolle vil herefter ændres henimod en mindre fokus på proces og formalia check, men i stedet sigter mod en mere effektiv retshåndhævelse og for at sikre ansvarlighed.
Ifølge rapporten viser den gennemførte forskning tydeligt, at privacy beskyttelsens succes eller fiasko i første række ikke afhænger af lovteksten, men om dem som skal håndhæve loven har de rette virkemidler.
Kommentarer
Rapportens ideer giver føde til eftertanke og en interaktiv debat mellem det politiske system, industrien og eksperter om hvordan man kan forbedre databeskyttelsen i Europa er altid nødvendig.
Det har længe været på tale at databeskyttelsesdirektivet trænger til et serviceeftersyn. Meget er sket siden 1995 og især efter 11. september 2001. Den teknologiske udvikling og globaliseringen ændrer hele tiden behovet for en effektiv databeskyttelse og privacy. Online sociale netværk, online forbrugeradfærdsdata, genetisk forskning er nogle af de emner som trænger til en mere specifik data- og privacy-beskyttelse samt europæisk for ikke at sige global harmonisering. Jeg er helt enig i betragtningen om, at databeskyttelsen bør være mere integreret med privacy og at disse begreber bør defineres klarere.
Rapporten foreslår en række spændende initiativer med henblik på at fremme databeskyttelsen i Europa og jeg hilser debatten velkommen også i Danmark. Persondataloven, som bygger på direktivet, er på mange måder en god lov, men mange af de ideer, der lanceres i rapporten, kan givetvis være med til at finjustere loven. Det bør dog ikke være usagt, at Datatilsynet under alle omstændigheder har behov for flere ressourcer, herunder IKT ekspertise, for at kunne leve op til sine forpligtelser.
Lad mig i den sammenhæng anbefale forslaget om, at Datatilsynet indgår strategiske samarbejdsaftaler med diverse organisationer, f.eks. branche- og interesseorganisationer, Forbrugerrådet m.fl.
Som kick-off for en konstruktiv dialog og for at stimulere debatten kunne man forestille sig, at Datatilsynet arrangerer en workshop for organisationer, myndigheder, eksperter osv.
I persondataloven er den dataansvarlige defineret som “Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.” (§ 3, nr. 4). Ligeledes fremgår det af loven, at hvis en fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ behandler oplysninger på den dataansvarliges vegne, betegnes denne ”databehandler” (jf. § 3, nr. 5). Efter min opfattelse bør enhver organisation af en vis størrelse udpege en såkaldt persondataansvarlig person, fordi ansvaret hermed gøres mere tydeligt og mere forståeligt ved at det bliver personificeret. Både den dataansvarlige så vel som databehandleren bør have pligt til at gennemgå en certificeret uddannelse i databeskyttelse og privacy. Til sammenligning kan anføres, at flere europæiske lande har en uddannelse som Data Protection Officer, der er en beskyttet titel. Uddannelsen kunne meget vel indgå i et videre meritforløb med eksempelvis informationssikkerhed, menneskerettigheder mm. herunder på bachelor/master niveau.
Regeringen har en vision om, at
Vi skal være et førende vidensamfund
Vi skal være et førende iværksættersamfund
Vi skal være verdens mest konkurrencedygtige samfund og
Vi skal skabe uddannelser i verdensklasse
Denne ambitiøse vision skal vi selvfølgelig også have os for øje, når det drejer sig om databeskyttelse og privacy.
Download hele rapporten her.